JWT (JSON Web Token)

📌 JWT 란?

JWT는 JSON 포맷을 이용하여 사용자에 대한 속성을 저장하는 claim 기반의 web token 입니다.

토큰 자체를 정보로 사용하기 때문에 self-contained 방식 이라고 하며 다음과 같은 흐름으로 사용됩니다.

 

JWT 동작 방식

 

JWT에는 필요한 모든 정보를 토큰에 포함하기 때문에

데이터베이스와 같은 서버와의 커뮤니케이션 오버 헤드를 최소화 할 수 있습니다.

또한 서버는 JWT 생성 시 JWT 에 검증이나 권한 인가 시 필요한 값을 넣어주면 되기 때문에

JWT 에 대한 상태를 따로 관리하지 않아 stateless 한 특징을 가지고 있습니다.

 

📌 JWT 구조

JWT 는 header , payload , signature 세 가지로 구성되어 있습니다.

각 부분은 base64-URLSAFE 로 인코딩 되어 표현되며 . 구분자를 통해 구분합니다.

 

HEADER.PAYLOAD.SIGNATURE

💡 Base64 URL Safe Encoding 이란?

기본 Base64 인코딩에서 +(plus)는 -(minus)로, /(slash)는 _(underscore)로대체된 인코딩 방법입니다.
이로 인해서 JWT는 설계 의도대로 URL, Cookie, Header 등어디에서도 사용될 수 있는 넓은 범용성을 가지게 되었습니다.

HEADER 에는 토큰의 타입과 해시 암호화 알고리즘으로 구성되어 있습니다.

PAYLOAD 에는 토큰에서 사용할 정보의 조각들인 클레임(claim) 이 담겨 있습니다.

 

claim 은 key-value 쌍으로 구성되어 있으며 토큰에는 여러개의 클레임을 넣을 수 있습니다.

SIGNATURE 는 HEADER 와 PAYLOAD 를 합친 문자열을 서명한 값입니다.

 

📌 JWS ? JWE ?

JWT 를 이용한 서명 이나 암호화 에 대한 명세는 JWT 하위 JWS 와 JWE 에 되어있습니다.

우리가 일반적으로 사용하는 대부분의 JWT는 JWS 를 사용하고

JWS Compact Serialization 으로 직렬화 한 문자열입니다.

 

이는 일반적으로 통신 시 구간 암호화가 필요하다면 TLS를 사용하기 때문에

JWE를 사용해서 데이터를 암호화할 필요가 없습니다.

JWS 는 JSON 으로 전자 서명을 하여 URL-SAFE 문자열로 표현한 것 이며

JWE 는 JSON을 암호화하여 URL-SAFE 문자열로 표현한 것 입니다.

 

여기서 서명 은 서명할 때 사용한 키를 사용해서

JSON 이 손상되지 않았는지 확인 할 수 있도록 하는 것입니다.

따라서 만약 우리의 JWS 가 민감한 정보를 가지고 있다면

이를 JWE 를 사용해서 또 한번 암호화할 수도 있지만

인증 토큰과 같은 시스템에서 JWE 만 사용하는 것은 넌센스입니다.

 

📌 JWT 의 단점 및 고려 사항

self-contained 이기 때문에 양날의 검이 될 수 있습니다.

payload 가 길어지면 네트워크에 부하를 줄 수도 있습니다.

payload 자체는 base64 로 인코딩 되어 있지만 암호화 된 것이 아니라서 중간에 탈취해 디코딩 할 수 있습니다.

stateless 하기 때문에 한번 만들어지면 제어가 불가능합니다.

또한 토큰은 클라이언트에서 관리해야 하기 때문에 토큰을 저장해야 합니다.

 

Bearer Token

일반적으로 토큰은 요청 헤더의 Authorization 필드에 담아져 보내집니다.

Authorization: <type> <credentials>

bearer 는 위 형식에서 <type> 에 해당합니다.

다양한 type 이 존재하므로 상황에 맞게 사용하면 됩니다.

(JWT 혹은 OAuth에 대한 토큰을 사용한다는 의미입니다.)

 

📌 참고자료

JWT를 소개합니다. : TOAST Meetup

JWT (JSON Web Token) 이해하기와 활용 방안 - Opennaru, Inc.

[Server] JWT(Json Web Token)란?

토근 기반 인증에서 bearer는 무엇일까?

What are the pros/cons of using JWE or JWS